出典:Alamy Stock Photoのニック・グレゴリー
2003年、ソフトウェアのバグとコミュニケーション不足により、米国とカナダで5500万人が停電を経験しました。誰も何も攻撃していません。20年以上経った今、同じインフラは慎重に計画を立てている高度な敵に直面しています。
運用技術(OT)は、他の分野とは異なる優先事項に基づいて動作しています。ITでは、機密性と整合性が最優先です。OT(ブレーカーを開閉し、電圧を調整し、負荷と障害を監視するシステム)では、1つのことだけが重要です:可用性です。
セキュリティは元々の設計に含まれていません。そして、それを後付けすることは、ダウンタイムが選択肢ではない場合、聞こえるほど簡単ではありません。
これらのシステムの多くは、暗号化も弱い認証しかない古いプロトコルで実行されています。誤るとその結果はデータ漏洩や規制罰金ではありません。人々は電力、水、熱を失います。現代の生活が依存するシステムは動作を停止します。静かに始まり、その後一気に。
ボルト台風は、中国政府支援の脅威アクターで、正当な認証情報とネイティブツールを使用してUS重要インフラネットワーク内に長期アクセスを維持していました。少なくとも1つの文書化された事例では、ボルト台風のアクセスはほぼ1年続きました。そのようなアクセスは盗難についてではありません。それは破壊に向けた配置についてです。カナダ・米国エネルギーグリッドは深く相互に接続されているため、脅威は国境で止まりません。われわれのセキュリティフレームワークはほぼすべて止まっています。しかし、実際の問題は、彼らが内部にいる間に何を見たかではありません。それは、彼らが出ていく際に持ち出したものです。
現在、重要インフラを運用する資産所有者は、彼らの暗号化対応について証明することを求められています。量子時代が来ても暗号化が安全であることを確認し、あなたが何を持っているかを示してください。
それは合理的な要求です。問題は、ほとんどの人がそれを理解していないということです。そして、それらを評価するために使用されているフレームワークは、それらが動作する環境のために決して構築されていません。
これは規制当局または資産所有者への批判ではありません。それはギャップです。そして、私たちがそれを正直に認めるまで、私たちはそれを解決していません。
IT環境は、システムを調査、更新、時折オフラインにすることができるという仮定で設計されました。OTはそうではありませんでした。OTは完全に異なる優先事項の周りで設計されました:可用性。これらのシステムは火曜日の夜にパッチを当てることを意図されていません。多くはサイバーセキュリティという言葉さえ存在する前にインストールされました。
IT環境への量子後暗号化への移行は既に複雑な複数年にわたる取り組みです。OT環境では課題はさらに大きいです。暗号化はファームウェアに埋め込まれている可能性があり、物理的なアクセスなしではアップグレードできないデバイスにハードコードされているか、または数十年で測定されるベンダーサポートサイクルに依存しています。これらのデバイスの一部は、わずか32KBのRAMで動作し、最新の暗号化操作を実行する処理能力がありません。量子後アルゴリズムはこれらの制約のために設計されていません。現在サービス中の一部の機器は、暗号化標準さえ存在する前にインストールされました。
OT資産所有者がIT環境用に構築されたフレームワークを使用して暗号化対応について証明することを求めるのは、ダッシュボードがないクルマで運転試験に合格することを求めるようなものです。要件は存在します。計装は存在しません。
OTデータは既に収集されています。これがより大きなリスクです
ほとんどの人が大声では言っていないことがあります:データは既に取得されています。今日OT環境から暗号化されたトラフィックを収集している敵は、それを読むことができるかどうかを確認するために待っていません。彼らはそれができる瞬間を待っています。その瞬間は近づいています。
量子コンピューティングは将来のコミュニケーションを脅かすだけではありません。過去に収集されたすべてが安全だったという仮定を脅かしています。あなたのネットワーク内で1年間住んでいた幽霊は、あなたのレイアウトを学んだだけではありません。あなたのキーを持ち出したかもしれません。これでより広いシナリオを考えます。今日あなたのネットワークから暗号化されたデータを収集した攻撃者は、量子コンピューティングがそれを可能にすると、一度それを復号化できます。それは今すぐ収集し、後で復号化します。
しかし、さらに少ない注意を得る第2の脅威があります。攻撃者がベンダーのファームウェア署名キーを収集している場合、彼らは数年後に戻ってきて、ネットワーク上のすべてのデバイスに悪意のある更新をプッシュできます。署名は正当に見えるため、すべてのデバイスが質問なくそれを受け入れます。それは今信頼し、後で偽造します。
幽霊は戻って破る必要がありません。それは出ていく際に扉を開けたままにしました。
そして、ほとんどのオペレーターは最も基本的な質問に答えることができません:暗号化はどこに彼らの環境に住んでいますか?彼らが怠惰だからではありません。これらのシステムはその方法で監査されることを意図されていなかったからです。
暗号化は長い間忘れられたライブラリに埋もれており、数十年前にインストールされたデバイスに埋め込まれており、ほとんどのセキュリティチームが依存するツールには見えません。データが存在しません。それを収集するプロセスは決して構築されていません。
証明書フォームに署名することは、その現実を変えません。それはどこにも存在しない保証の外観を生成するだけです。
求められているものと実証できるものの間のギャップが大きいほど、組織は2つのうち1つを行います。いずれかギャップを真に閉じるために投資するか、それを閉じたように見えるために投資します。
リソースが不足しているOT環境で、薄いマージンで動作し、老朽化したインフラストラクチャとスケルトンセキュリティチームで、最小限の抵抗のパスは明白です。ボックスをチェックしてください。証明書を提出してください。進めてください。
その結果は、認識された不確実性よりも危険である可能性のある虚偽の保証感です。証明書が意味があると信じる規制当局は、難しい質問をするのをやめます。文書を提出した資産所有者は、緊急性を感じるのをやめます。幽霊はまだグリッド内にあります。誰もそれを探しているのではありません。
暗号化対応要件の背後にある緊急性は本物です。NISTが量子後暗号化標準をリリースしました。理由があり、政府の時間枠は理由があります。しかし、OT環境全体の暗号化がどこに住んでいるかを判断するのに数年かかります。多くの組織にとって、10年は十分ではないかもしれません。
しかし、能力のない緊急性は単なる圧力です。そして、適切なツールのない圧力は、セキュリティではなく、文書を生成します。
資産所有者に何かを証明することを要求する前に、規制当局は、その証明書を意味のあるものにするためのフレームワーク、ガイダンス、およびツールが存在することを保証する義務があります。現在、彼らはそうではありません。それまで、証明書要件は確認できないことを確認するよう人々に求めています。それはセキュリティではありません。それはセキュリティとして服を着た文書です。
幽霊はすでにグリッド内にあり、廊下を歩いており、そこに属しているようにまさに見えます。問題は、それが行動することを決定する前にそれを見つけるかどうかです。
翻訳元: https://www.darkreading.com/ics-ot-security/ot-lacks-tools-cryptographic-readiness
